Ściągnij bazę i kopię plików strony, następnie przeszukaj całość pod względem przekierowania, dodatkowych plików(które nie powinny się znajdować w instalacji) lub zakodowanych żądań base64. Możesz to zrobić np. za pomocą notepad++.
Zmienić przekierowanie do panelu admina(zakładając, że jeszcze działa), możesz w całkiem prosty sposób:
https://wordpress.org/support/topic/how-to-change-the-admin-url-or-wp-admin-to-secure-login?replies=13
Po wszystkim proponuję przeskanować całość Wordfence – ten wskaże, które pliki instalacji wordpressa mogły zostać podmienione.
Thread Starter
znajc
(@znajc)
Biorę się do działania i poinformuję o efektach – dzięki za podpowiedź!
Thread Starter
znajc
(@znajc)
….a które pliki z konfiguracji zapasowej wykonanej na ok 3 miesiące z przed incydentu wymienić by jedynie dostać się do panelu logowania wp-admin ?? Tak by treść, ustawienia witryny itp pozostały najbliższe obecnej formie ??
Sposób podany powyżej na „How to change the admin url …” blokuje mi w ogóle dostęp do witryny – wyświetla białą pustą stronę. Zauważyłem że po wpisaniu http://biologiczna-odnowa.pl/wp-login.php/ pokazuje się panel logowania (przez chwile miałem zadowoloną minę 🙂 ) ale po wpisaniu czego kolwiek dlaej przekierowuje na error 404
Spróbuj wstawić set_url:
define('WP_HOME','http://example.com');
define('WP_SITEURL','http://example.com');
do wp-config.php i wtedy zobacz, czy przejdzie dalej.
Treść zapisana jest w bazie mysql, a obrazy w wp-content/uploads/
Poza tym skanowałeś całość w poszukiwaniu wspomnianego przekierowania?
Thread Starter
znajc
(@znajc)
po wpisaniu def strona się ładuję natomiast dalej nie mam dostępu do wp-admin. Idąc za przykładem opcja „secret-folder” daje ten sam efekt chyba że wstawiam w złe miejsca te funkcje.
1: define('WP_ADMIN_DIR', 'secret-folder');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);
– wklejam w wp-config zaraz za linia wp_debug
2:add_filter('site_url', 'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
$old = array( "/(wp-admin)/");
$admin_dir = WP_ADMIN_DIR;
$new = array($admin_dir);
return preg_replace( $old, $new, $url, 1);
}
– wstawiam na końcu w functions.php przed znacznikiem </script>
Tu nieco gubię jeśli chodzi o temat „przeszukaj całość pod względem przekierowania” – skopiowaną zawartość z serwera w jaki sposób mam przeskanować ? Pliki porównywać z oryginałem ? czy najnormalniej wyszukiwanie Windowsa z zawartością plików… ?
1. Obojętnie gdzie wrzucisz
2. Po otwartym tagu <?php i przed zamkniętym ?>
3. W instrukcji było info o dodaniu wpisu do htaccess
Wyeksportuj bazę normalnie do sql i przeszukaj ją albo notatnikiem albo najlepiej notepad++ pod frazą „readf.php”.
Następnie skopiuj pliki strony z serwera, potem w notepad++ zaznacz opcję „szukaj w plikach” i wpisujesz frazę, tutaj też proponuję zacząć od „readf.php”(bez cudzysłowia oczywiście).
Możesz też spróbować pobrać wordpressa w wersji swojej instalacji i podmienić cały folder /wp-admin/ – nie ma w nim żadnych zapisanych tekstów, także spróbować możesz.
Thread Starter
znajc
(@znajc)
Tak, pamiętałem o punkcie nr 3 i wpisie w .htaccess – przeszedłem tą drogę raz jeszcze z drobnymi poprawkami ale efekt pozostał ten sam. Zgodnie ze wskazówkami (czegoś nowego się nauczę) przeskanowałem pliki jak i baze msql pod kątem wystąpienia „readf.php” – znalazłem takowy wpis jedynie w pliku \wp-includes\admin-bar.php więc go podmieniłem, bez efektu :/ . Podmieniłem folder wp-admin + plik wp-login.php również bez zmian.
Reasumując będę chyba zmuszony zainstalować nowego czystego wordpressa i odtwarzać witrynę – przenoszenie będę robił pierwszy raz więc jeśli dobrzez zakładam to muszę wyeksportowac bazę danych do pliku, skopiować folder wp-content i działać. Na tą chwilę serdecznie dziękuję za pomoc i za zaangażowanie!
Z tą bazą to ja bym uważał, lepiej przekopiować ręcznie materiały. W samej bazie też mogą być podejrzane wpisy.
W wyeksportowanej bazie znajdziesz normalnie strony/posty zapisane w trybie tekstowym.
Przed instalacją pamiętałbym na Twoim miejscu o dwóch rzeczach:
1. Sprawdzić jaki parser php używa serwer – jeśli mniej, niż 5.6, to poprosić usługodawcę o przełączenie na takowy. Mało ludzi na to zwraca uwagę ale WP do optymalnego i „bezpiecznego” działania wymaga właśnie php w wersji 5.6+
2. Od razu zmienić adres panelu logowania na inny. Najlepiej jakąś wtyczką, żeby było szybko i adres zmienić na jakiś niekojarzący się z panelem administratora, np. strona.pl/masaze99934112/
Proponuję również poczytać o zasadach bezpieczeństwa WP, może się jeszcze przydać na przyszłość.
Thread Starter
znajc
(@znajc)
Postaram się wziąć Twe uwagi do rozwagi 😉 Raz jeszcze dziękuje za pomoc i nie zdziw się jak otrzymasz ode mnie wiadomość prywatną z jakimś zapytaniem odnośnie WP gdyż rzadko kiedy i od kogo można tak szybko i sprawnie uzyskać pomocne info ! Jeśli będziesz miał ochotę na dostawę obiecanego piwa z postu 1 to daj info na priv. Temat zamykam.
PS. Twoją stronę http://playernotes.pl poznałem przed tobą ;]
